CVE-2026-45260 in Pimcore
Zusammenfassung
von VulDB • 18.07.2026
Pimcore ist eine Open-Source-Daten- und Experience-Management-Plattform. Vor den Versionen 11.5.17 (LTS) und 12.3.7 stellt Pimcores WebDAV-Asset-Endpunkt über /asset/webdav{path} eine MOVE-Operation ohne Authentifizierungsplugin in bundles/CoreBundle/src/Controller/WebDavController.php zur Verfügung, und models/Asset/WebDAV/Tree.php führt Asset-Mutationen und -Löschungen durch models/Asset.php aus, bevor ein aktueller Pimcore-Benutzer oder die Berechtigungen zum Umbenennen, Löschen, Erstellen oder Veröffentlichen überprüft werden. Dies ermöglicht das unbefugte Löschen, Verschieben oder Überschreiben von Assets. Dieses Problem wurde in den Versionen 11.5.17 (LTS) und 12.3.7 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.